【MyBatis】MyBatis中 #{ }和 ${ }的区别

最新推荐文章于 2025-03-22 16:06:09 发布
最新推荐文章于 2025-03-22 16:06:09 发布
阅读量931 收藏 14
点赞数 19
分类专栏: MyBatis 文章标签: mybatis java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_50591390/article/details/144674498
版权

引言

在使用 MyBatis 进行数据库操作时,#{} 和 ${} 是两个常用的占位符符号。它们虽然看起来相似,但在实际应用中有着本质的区别。

1. ${} —— 字符串拼接

${} 是 MyBatis 中的 字符串拼接占位符,用于直接将参数值拼接到 SQL 语句中。它会将传入的参数值直接替换到 SQL 中的 ${} 所在的位置,而不会进行任何的处理或转义。

1.1 工作原理

  • ${} 会直接将参数值插入到 SQL 字符串中,不会使用 PreparedStatement 进行参数化传递。
  • 因为没有任何处理和转义,这种方式容易导致 SQL 注入风险。

1.2 示例

假设我们有一个 SQL 查询:

<select id="findUserByColumn" parameterType="String" resultType="User">
  SELECT * FROM user WHERE user_name = ${userName}
</select>

在这个查询中, ${userName}会直接被替换为传入的参数值。例如,如果传入的参数是 “admin”,最终的 SQL 查询会是:

SELECT * FROM user WHERE user_name = 'admin'

这里的 ${userName} 直接替换成了 admin,没有任何转义或检查。如果用户传入恶意的 SQL 语句片段(比如 “admin’ or 1=1 --”),name生成的SQL语句为:

SELECT * FROM user WHERE user_name = 'admin' or 1=1 --'

那么这样就会查出user表中所有的用户数据,出现了SQL注入的问题

1.3 使用场景

通常情况下,${} 适用于那些不需要用户输入的地方,如表名、列名等静态部分。在这种情况下,静态部分是由程序内部控制的,不会受到外部输入的影响。

2.#{} —— 参数占位符

#{} 是 MyBatis 中的 参数占位符,用于将参数传递到 SQL 语句中。它的作用是将参数值进行处理并填充到 SQL 语句中,在传递参数时会进行预处理,避免 SQL 注入风险。

2.1 工作原理

  • MyBatis 会将 #{} 中的参数值自动进行转义,将 sql 中的#{}替换为 ? 号。
  • 它不会直接将参数值拼接到 SQL 语句中,而是通过 PreparedStatement 的方式将参数作为 SQL 的一部分传入。

2.2 示例

假设我们有一个 SQL 查询:

<select id="findUserByName" parameterType="String" resultType="User">
  SELECT * FROM users WHERE user_name = #{username}
</select>

在这个查询中,#{username} 会被 MyBatis 替换为传入的参数值,并通过 PreparedStatement 安全地传递给数据库。比如,如果传入的参数是 “admin”,最终的 SQL 查询会是:

SELECT * FROM users WHERE username = 'admin'

MyBatis 会自动处理转义和类型转换,确保 username 参数的正确传递,避免 SQL 注入问题。

2.3 使用场景

#{} 适用于所有需要传递用户输入参数的地方,确保应用程序的安全性和稳定性。

3.#{ }和 ${ }的区别

  • #{}匹配的是一个占位符,相当于JDBC中的一个?,会对一些敏感的字符进行过滤,编译过后会对传递的值加上双引号,因此可以防止SQL注入问题。

  • ${}匹配的是真实传递的值,传递过后,会与sql语句进行字符串拼接。${}会与其他sql进行字符串拼接,不能预防sql注入问题。

4.#{}底层是如何防止SQL注入的?

MyBatis在使用#{}传递参数时,是借助PreparedStatement类的setString()方法来完成,而${}则不是

setString()源码如下:

public void setString(int parameterIndex, String x) throws SQLException {
        synchronized(this.checkClosed().getConnectionMutex()) {
            if (x == null) {
                this.setNull(parameterIndex, 1);
            } else {
                this.checkClosed();
                int stringLength = x.length();
                StringBuilder buf;
                if (this.connection.isNoBackslashEscapesSet()) {
                    boolean needsHexEscape = this.isEscapeNeededForString(x, stringLength);
                    Object parameterAsBytes;
                    byte[] parameterAsBytes;
                    if (!needsHexEscape) {
                        parameterAsBytes = null;
                        buf = new StringBuilder(x.length() + 2);
                        buf.append('\'');
                        buf.append(x);
                        buf.append('\'');
                        if (!this.isLoadDataQuery) {
                            parameterAsBytes = StringUtils.getBytes(buf.toString(), this.charConverter, this.charEncoding, this.connection.getServerCharset(), this.connection.parserKnowsUnicode(), this.getExceptionInterceptor());
                        } else {
                            parameterAsBytes = StringUtils.getBytes(buf.toString());
                        }

                        this.setInternal(parameterIndex, parameterAsBytes);
                    } else {
                        parameterAsBytes = null;
                        if (!this.isLoadDataQuery) {
                            parameterAsBytes = StringUtils.getBytes(x, this.charConverter, this.charEncoding, this.connection.getServerCharset(), this.connection.parserKnowsUnicode(), this.getExceptionInterceptor());
                        } else {
                            parameterAsBytes = StringUtils.getBytes(x);
                        }

                        this.setBytes(parameterIndex, parameterAsBytes);
                    }

                    return;
                }

                String parameterAsString = x;
                boolean needsQuoted = true;
                if (this.isLoadDataQuery || this.isEscapeNeededForString(x, stringLength)) {
                    needsQuoted = false;
                    buf = new StringBuilder((int)((double)x.length() * 1.1D));
                    buf.append('\'');

                    for(int i = 0; i < stringLength; ++i) {		//遍历字符串,获取到每个字符
                        char c = x.charAt(i);
                        switch(c) {
                        case '\u0000':
                            buf.append('\\');
                            buf.append('0');
                            break;
                        case '\n':
                            buf.append('\\');
                            buf.append('n');
                            break;
                        case '\r':
                            buf.append('\\');
                            buf.append('r');
                            break;
                        case '\u001a':
                            buf.append('\\');
                            buf.append('Z');
                            break;
                        case '"':
                            if (this.usingAnsiMode) {
                                buf.append('\\');
                            }

                            buf.append('"');
                            break;
                        case '\'':
                            buf.append('\\');
                            buf.append('\'');
                            break;
                        case '\\':
                            buf.append('\\');
                            buf.append('\\');
                            break;
                        case '¥':
                        case '₩':
                            if (this.charsetEncoder != null) {
                                CharBuffer cbuf = CharBuffer.allocate(1);
                                ByteBuffer bbuf = ByteBuffer.allocate(1);
                                cbuf.put(c);
                                cbuf.position(0);
                                this.charsetEncoder.encode(cbuf, bbuf, true);
                                if (bbuf.get(0) == 92) {
                                    buf.append('\\');
                                }
                            }

                            buf.append(c);
                            break;
                        default:
                            buf.append(c);
                        }
                    }

                    buf.append('\'');
                    parameterAsString = buf.toString();
                }

                buf = null;
                byte[] parameterAsBytes;
                if (!this.isLoadDataQuery) {
                    if (needsQuoted) {
                        parameterAsBytes = StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', this.charConverter, this.charEncoding, this.connection.getServerCharset(), this.connection.parserKnowsUnicode(), this.getExceptionInterceptor());
                    } else {
                        parameterAsBytes = StringUtils.getBytes(parameterAsString, this.charConverter, this.charEncoding, this.connection.getServerCharset(), this.connection.parserKnowsUnicode(), this.getExceptionInterceptor());
                    }
                } else {
                    parameterAsBytes = StringUtils.getBytes(parameterAsString);
                }

                this.setInternal(parameterIndex, parameterAsBytes);
                this.parameterTypes[parameterIndex - 1 + this.getParameterIndexOffset()] = 12;
            }

        }
    }

执行#{}的查询语句,打断点:
在这里插入图片描述
所以最终传递的参数为:

'admin\' or 1=1 --

所以在数据库执行的SQL语句为:

select * from user where user_name = 'admin\' or 1=1 -- '

显然查询不到user_name为admin\' or 1=1 -- 的数据

但是如果SQL语句为:

select * from user where user_name = 'admin' or 1=1 -- '

因为有or 1=1 的存在,就会查询出所有数据,出现SQL注入问题

5.其他

假设有一条SQL语句:

select * from #{value}

此时传入一个数据库表名字段 user,那么这条SQL语句会报错,原因是在 SQL 查询中,表名(和列名)属于结构部分,它们不能像普通的参数一样通过预编译的方式进行绑定。#{} 主要用于数据值的传递,它会把占位符替换为实际的参数值,并且通过 JDBC 的预编译机制来避免 SQL 注入问题。由于表名是 SQL 语句的一个组成部分,它不能作为参数直接传入。

在这里插入图片描述

6.总结对比

特性#{}${}
用途参数占位符,用于安全地传递参数字符串拼接,用于动态拼接 SQL 语句
传递方式使用 PreparedStatement 传递参数直接替换为参数值,拼接到 SQL 中
安全性防止 SQL 注入,自动转义容易引起 SQL 注入,存在风险
使用场景适用于用户输入、动态查询参数适用于动态生成表名、列名等固定部分
自动处理自动类型转换,防止 SQL 注入不做任何处理,直接插入到 SQL 中
  • 优先使用 #{}: 如果参数值来自用户输入或不受信任的源,使用 #{} ,它会自动处理 SQL 注入问题,确保 SQL 查询的安全。
  • 慎用 ${}${} 应该仅在你确定参数值安全(如常量静态字段)时使用,且不包含用户输入时使用。否则,避免在 SQL 中拼接任何可能来自用户的动态内容。
MyBatis#$符的区别,sql注入问题,动态sql语句
m0_73381672的博客
02-06 1863
#{}${}都是MyBatis提供的sql参数替换。区别是: #{}是预编译处理,${}是字符串直接替换。 #{}可以防止SQL注入,${}存在SQL注入的风险,例如 “' or 1='1” 虽然存在SQL注入风险,但也有自己的适用场景,比如排序功能,表名,字段名等作为参数传入时。 #{}模糊查询要搭配使用mysql内置的拼接函数concat,安全性高。模糊查询虽然${}可以完成,但是存在SQL注入,不安全。
mybatis - 取值符号:# $区别
pig_ning的博客
04-25 988
mybatis - 取值符号:# $区别
详解Mybatis中的 ${} #{}区别与用法
08-18
主要介绍了Mybatis中的 ${} #{}区别与用法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
mybatis#{}${}的区别
Lyuuku爱吃苹果
02-11 563
1. 概念 #{}${}都可以传输数据,两者的差异是编译的时期不一样 #{}是一次编译,后续每次调用只是传递一个参数进去${}是每次都会编译,传递进去的数据会当做sql语句一起编译 2. sql语句的编译 sql语句编译有两种形式,即statementPrepareStatement两种 2.1 Statement statement每次执行语句都要重新编译一次
MyBatis#{} ${} 的区别详解
最新发布
秃头之旅
03-22 1649
MyBatis 是一个优秀的持久层框架,它简化了数据库操作,并提供了强大的 SQL 映射功能。在 MyBatis 中,#{}${}是两种常用的占位符,用于动态替换 SQL 语句中的参数。尽管它们看起来相似,但它们在处理方式安全性上有显著的区别。本文将详细探讨#{}${}的区别,并分析它们的适用场景。
MyBatis#{}${}的区别
m0_67683346的博客
02-28 5293
MyBatis#{}${}的区别
Mybatis#{}与${}的区别
X_islu的博客
11-29 646
这两个语法是为了动态传递参数而存在的,是Mybatis实现动态SQL的基础,总体上他们的作用是一致的(为了动态传参),但是在编译过程、是否自动加单引号、安全性、使用场景等方面有很多不同,下面详细比较两者间的区别。3、传参时参数使用@Param("")注解,@Param注解的作用是给参数命名,参数命名后就能根据名字得到参数值(相当于又加了一层密)。${}默认值param1、param2、param3。#{}默认值arg0、arg1、arg2或0、1。1、能用 #{} 的地方就用 #{},尽量少用 ${}
请简述MyBatis#{} ${} 之间的区别
Jiali的博客
05-10 2144
​ 首先都可以用来读取调用Mapper接口时传递给方法的形参值,形参可以是基本类型、引用类型(对象),不管是读取基本类型还是对象中的属性,都可以用或直接获取到。
Mybatis下动态sql中##$$区别讲解
08-26
Mybatis下动态sql中##$$区别讲解 Mybatis是一款流行的ORM框架,能够帮助开发者快速构建数据库交互应用程序。在Mybatis中,动态SQL是一种强大特性,能够根据不同的输入参数生成不同的SQL语句。在Mybatis中,使用...
浅谈Mybatis #$区别以及原理
08-18
浅谈Mybatis #$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#$,它们均用于参数化SQL语句,但是它们的作用原理却有所不同,本文将详细介绍这两者的区别原理。 #$区别 在...
MyBatis - #{} ${}
m0_74859835的博客
09-21 873
mybatis - #{ } ${ } 的使用区别,预编译SQL 即时SQL 的优缺点,及SQL注入问题
MyBatis#{}${}的区别详解
weixin_30275415的博客
07-18 185
首先看一下下面两个sql语句的区别: <select id="selectByNameAndPassword" parameterType="java.util.Map" resultMap="BaseResultMap"> select id, username, password, role from user where username = #{username,j...
彻底搞懂MyBaits中#{}${}的区别
热门推荐
緑水長流*z
07-11 3万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
Mybatis#{}${}的区别是什么?
weixin_52222660的博客
04-23 1335
mybatis编写SQL语句的时候,经常需要用到,那么用来替换变量值的操作这两个符号,同样在一些Java面试中也经常被问到它们的区别。那么它们在使用上面有什么区别呢?
Mybatis#{}${}的区别
Lqf111的博客
10-06 616
1,#{}是占位符,预编译处理;${}是拼接符,单纯的字符串替换,没有预编译处理。 2,Mybatis在处理#{}时,#{}传入参数是以字符串传入,会将SQL中的#{}替换为?,调用PreparedStatement的set方法来赋值。 3,Mybatis在处理${}时是原值传入的,就是把{}中的内容替换成变量的值,相当于JDBC中的Statement编译。 4,变量替换后,#{}对应的变量会自动加上单引号;${}对应的变量不会加上单引号。 5,#{}可以有效的防止SQL注入,提高系统的安全性。
Mybatis#{}${}的区别是什么
2303_78263863的博客
03-12 812
MyBatis中,#{}${}是两种参数替换方式,核心区别在于
Mybatis中的${}#{}区别
web18484626332的博客
08-02 8963
动态sql是mybatis的主要特性之一,在mapper中定义的参数传到xml中之后,在查询之前,mybatis会对其进行动态解析。mybatis为我们提供了两种支持动态sql的语法#{}以及${}提示以下是本篇文章正文内容,下面案例可供参考。...
MyBatis#{}与${}的区别
qq_55961709的博客
05-05 242
MyBatis#{}与${}的区别
mybatis中使用#$书写占位符有什么区别
06-06
MyBatis中使用#$书写占位符有什么区别? 在MyBatis中,使用#$书写占位符都是用来替换SQL语句中的参数,但是它们的功能作用是不同的。#代表参数预处理,它会将传入的值自动封装成对应的Java类型,可以防止SQL注入攻击,但是不能直接替换表名列名。$代表参数直接替换,它会将传入的值直接替换到SQL语句中,可以用于替换表名列名,但是容易发生SQL注入攻击。因此,在使用时需要根据具体情况选择使用哪种占位符。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值